Questo documento presenta alcuni casi d'uso comuni di Google Cloud Armor Adaptive Protection.
Rilevamento e protezione da attacchi DDoS L7
Il caso d'uso più comune di Adaptive Protection è rilevare e rispondere ad attacchi DDoS L7 come flood HTTP GET, flood HTTP POST o altre attività HTTP ad alta frequenza. Gli attacchi DDoS L7 spesso iniziano relativamente lenti e aumentano di intensità nel tempo. Quando gli umani o i meccanismi di rilevamento automatico dei picchi rilevano un attacco, è probabile che siano ad alta intensità e abbiano già un forte impatto negativo sull'applicazione. Il punto critico è che, sebbene sia possibile osservare il traffico di aggregazione in forma aggregata, è molto più difficile distinguere in tempo reale le singole richieste come dannose o meno, perché sembrano normali e complete. Allo stesso modo, poiché le fonti di attacco sono distribuite tra botnet o altri gruppi di client dannosi di dimensioni comprese tra migliaia e milioni di utenti, diventa sempre più difficile mitigare un attacco in corso identificando e bloccando sistematicamente i cattivi client solo in base all'IP. Nel caso di DDoS, il risultato è un attacco che rende non disponibile il servizio scelto come target per alcuni o tutti gli utenti normali.
Per rilevare e rispondere rapidamente agli attacchi DDoS L7, il proprietario del progetto o del criterio di sicurezza può attivare la protezione adattiva in base ai criteri di sicurezza nel proprio progetto. Dopo almeno un'ora di addestramento e l'osservazione dei normali modelli di traffico, Adaptive Protection sarà pronto a rilevare in modo rapido e preciso un attacco all'inizio del suo ciclo di vita e a suggerire regole WAF per bloccare l'attacco in corso lasciando inalterati gli utenti normali.
Le notifiche di potenziali attacchi e la firma identificata del traffico sospetto vengono inviate a Logging, dove il messaggio di log può attivare un criterio di avviso personalizzato, essere analizzato e archiviato o essere inviato a una soluzione di gestione degli eventi e delle informazioni di sicurezza downstream (SIEM). Per scoprire di più su come integrare SIEM downstream o gestire i log, consulta la documentazione sul logging.
Rilevamento e risposta degli attacchi
È fondamentale non solo rilevare e avvisare tempestivamente i potenziali attacchi, ma anche essere in grado di intervenire in tempo reale e rispondere in tempo per mitigare gli attacchi. Gli addetti alle risposte agli incidenti aziendali devono dedicare minuti e ore importanti a indagare, analizzando spesso i log e i sistemi di monitoraggio per raccogliere informazioni sufficienti da elaborare una risposta a un attacco in corso. Successivamente, prima di implementare la mitigazione, quel piano deve essere convalidato per garantire che non abbia un impatto indesiderato o negativo sui carichi di lavoro di produzione.
Con Adaptive Protection, gli addetti di risposta agli incidenti hanno tutto ciò di cui hanno bisogno per analizzare e rispondere rapidamente a un attacco DDoS L7 in corso nel momento in cui ricevono l'avviso. L'avviso di Adaptive Protection include la firma del traffico, determinato a partecipare al potenziale attacco. I contenuti della firma includeranno metadati sul traffico in entrata, tra cui l'insieme di intestazioni delle richieste HTTP dannose, aree geografiche di origine e così via. L'avviso include anche una regola corrispondente alla firma dell'attacco che può essere applicata in Google Cloud Armor per bloccare immediatamente il traffico dannoso.
L'evento Adaptive Protection fornisce un punteggio di affidabilità e una percentuale di riferimento con impatto previsto associati alla regola suggerita per la convalida. Ogni componente della firma dispone anche di misure per la probabilità di attacco e di proporzioni per consentire a chi risponde di ottimizzare le opzioni e perfezionare e restringere l'ambito della risposta.
Personalizzazione del modello e segnalazione di errori relativi agli eventi
I modelli di rilevamento degli attacchi di Adaptive Protection vengono addestrati su un set di dati, creati artificialmente per mostrare le caratteristiche sia del traffico buono che dannoso. Di conseguenza, è possibile che Adaptive Protection identifica un potenziale attacco che, dopo ulteriori indagini, il responsabile dell'incidente o il proprietario dell'applicazione determinerà che non è stato un attacco. Adaptive Protection è in grado di apprendere dal contesto e dai modelli di traffico unici di ogni applicazione protetta.
Puoi segnalare singoli avvisi come falso positivo per aiutare ulteriormente l'addestramento di Adaptive Protection e personalizzare i modelli di rilevamento. Con i rapporti falso positivi, i modelli di Adaptive Protection avranno meno probabilità di avvisare il traffico con caratteristiche e attributi simili in futuro. Nel corso del tempo, i modelli di rilevamento di Adaptive Protection saranno maggiormente adattati alle caratteristiche specifiche del traffico in ogni criterio di sicurezza protetto. I passaggi per segnalare falsi positivi sono stati descritti in Monitoraggio, feedback e errori degli eventi.